OCR impõe penalidade de US $ 6,85 milhões sobre violação de dados

O Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos (OCR) impôs uma multa de US $ 6,85 milhões à  Cruz Azul de Premera  para resolver possíveis violações da Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996 (HIPAA).

A Premera Blue Cross é uma seguradora de saúde sem fins lucrativos licenciada pela Blue Cross Blue Shield com sede em Mountlake Terrace. Em 2014, a empresa sofreu uma violação de dados que impactou as informações protegidas de saúde (PHI) de 10,4 milhões de pessoas.

Um grupo de ameaça persistente avançada (APT) usou com sucesso um ataque de spear-phishing para obter acesso ao sistema de computador do Premera. Ao longo de nove meses, o grupo acessou dados incluindo nomes, endereços, datas de nascimento, endereços de e-mail, números do Seguro Social, informações de contas bancárias e informações clínicas de planos de saúde de clientes Premera. 

Os invasores comprometeram o Premera em maio de 2014, mas suas atividades não foram descobertas pela empresa até janeiro de 2015. O OCR foi notificado sobre a violação de dados dois meses depois.

Depois de investigar o incidente de segurança, o OCR identificou “não conformidade sistêmica” com as Regras da HIPAA pela Premera Blue Cross. 

As falhas identificadas pelos investigadores incluíram negligência em conduzir uma análise de risco abrangente e precisa para identificar todos os riscos para a confidencialidade, integridade e disponibilidade do ePHI e não tomar medidas para reduzir os riscos e vulnerabilidades para PHI eletrônico a um nível razoável e apropriado.

Foi ainda descoberto que o Premera não conseguiu implementar hardware, software e mecanismos de procedimento suficientes para registrar e analisar atividades relacionadas a sistemas de informação contendo ePHI, antes de 8 de março de 2015.

A Premera concordou em pagar $ 6,85 milhões e implementar um ” plano de ação corretiva robusto  ” que inclui dois anos de monitoramento. Segundo o acordo, a empresa deve estabelecer um plano de análise de risco e revisá-lo pelo menos uma vez por ano.

“Se grandes seguradoras de saúde não investirem tempo e esforço para identificar suas vulnerabilidades de segurança, sejam elas técnicas ou humanas, os hackers certamente o farão”,  disse  Roger Severino, diretor de OCR.

“Este caso demonstra vividamente o dano que resulta quando os hackers são autorizados a vagar sem serem detectados em um sistema de computador por quase nove meses.”

Fonte: https://www.infosecurity-magazine.com/news/ocr-imposes-685m-penalty-over-data/